Бекдор для Windows, використовує компоненти TeamViewer

Фахівцями компанії «Доктор Веб» був виявлений троян BackDoor.TeamViewer.49, який виробляє установку програми TeamViewer на заражений комп’ютер і використовує його в якості проксі-сервера. Компанія також повідомляє про появу побратима даного трояна: BackDoor.TeamViewerENT.1 (він же Spy-Agent) який також саме застосовує у своїй роботі легальні компоненти програми TeamViewer.

Сімейство троянів даного типу відомо з 2011 року, і автори малварі періодично випускають нові версії шкідливий, розвиваючи свій «продукт». Експерти пишуть, що по архітектурі BackDoor.TeamViewerENT.1 нагадує BackDoor.TeamViewer.49, що складається відразу з декількох модулів. Але, якщо знайдений в травні троян використовував TeamViewer тільки для того, щоб завантажити в пам’ять атакується машини шкідливу бібліотеку, то новий бекдор застосовує TeamViewer для шпигунства за комп’ютером на якому він встановлений.

Основні шкідливі функції малварі зосереджені в бібліотеці avicap32.dll, а настройки зберігаються в зашифрованому конфигурационном блоці. Крім спеціально створеної зловмисниками шкідливої ​​бібліотеки троянець зберігає на диск атакується машини необхідні для роботи TeamViewer файли і папки, а також кілька додаткових файлів-модулів.

Використовуються легітимні можливості Windows

При цьому зловмисники експлуатують легітимні можливості Windows: якщо для роботи з додатком потрібна завантаження динамічної бібліотеки, система спочатку спробує знайти файл з таким ім’ям в тій же папці, звідки була запущена програма, і лише потім – в системних папках Windows. Так, з додатком TeamViewer дійсно необхідна бібліотека avicap32.dll, яка за замовчуванням зберігається в одній із системних директорій Windows. Малваре зберігає шкідливу бібліотеку з таким же ім’ям прямо в папку з легітимним виконуваним файлом TeamViewer, в результаті чого система завантажує в пам’ять троянську бібліотеку замість справжньої.

Після запуску BackDoor.TeamViewerENT.1 відключає показ помилок для процесу TeamViewer, встановлює атрибути «системний», «прихований» і «тільки для читання» своїм власним файлам і файлам цієї програми, а потім перехоплює в пам’яті процесу TeamViewer виклики функцій цього додатка і ряду системних функцій. Якщо для нормальної роботи TeamViewer на атакованому комп’ютері не вистачає будь-яких файлів або компонентів, троянець завантажує їх зі свого керуючого сервера. Крім цього, якщо BackDoor.TeamViewerENT.1 виявляє спробу запуску програм «Диспетчер завдань Windows» і Process Explorer, він завершує роботу процесу TeamViewer на зараженій машині.

Бекдор виконує наступні команди зловмисників

  • перезавантажити ПК;
  • вимкнути ПК;
  • почати прослуховування звуку з мікрофона;
  • завершити прослуховування звуку з мікрофона;
  • визначити наявність веб-камери;
  • почати перегляд через веб-камеру;
  • завершити перегляд через веб-камеру;
  • скачати файл, зберегти його в тимчасову папку і запустити;
  • оновити конфігураційний файл або файл бекдор;
  • видалити TeamViewer;
  • перезапустити TeamViewer;
  • підключитися до зазначеного віддаленого вузла, після чого запустити cmd.exe з перенаправленням введення-виведення на віддалений хост.

Дані команди відкривають перед зловмисниками широкі можливості для шпигунства за користувачами заражених комп’ютерів, включаючи викрадення конфіденційної інформації. Зокрема, відомо, що за допомогою цього троянця кіберзлочинці встановлювали на заражені машини малваре з сімейств Trojan.Keylogger і Trojan.PWS.Stealer.

Ссылка на основную публикацию